Antivirussoftware valt binnen cybersecurity onder ‘prevent’. Het beschermt computers en apparaten op verschillende manieren. Zo voorkomt de software bijvoorbeeld dat gebruikers kwaadwillende websites bezoeken, beëindigt verdachte processen, voorkomt dat applicaties worden misbruikt en detecteert en verwijdert schadelijke bestanden.
Om ervoor te zorgen dat deze beveiligingsmechanismen dreigingen kunnen stoppen, hebben beveiligingsleveranciers toegang nodig tot threat intelligence – informatie die inzicht geeft in het huidige en toekomstige dreigingslandschap. Een manier om threat intelligence te verzamelen is het analyseren van kwaadwillende voorbeelden. Bij F-Secure verzamelen we af en toe verdachte monsters en daaraan gekoppelde metadata vanuit klantomgevingen, om hiermee onze threat intelligence te verbeteren.
In het kort komt het hierop neer: onze software komt een verdacht voorbeeld tegen op het systeem van een klant dat we nog nooit eerder hebben gezien. Als de software op zichzelf geen oordeel kan vellen, dan kan dat voorbeeld naar onze cloud worden geüpload voor verdere analyse.
Zo werkt de meeste antivirussoftware tegenwoordig. Cloud-technologie zorgt voor betere, snellere bescherming. Zodra de security cloud namelijk bepaalt dat het verdachte bestand ook echt slecht is, kan de software direct alle andere klanten beschermen.
Onder de loep
Deze manier van het terugsturen van gegevens van host machines naar de leverancier maakt dat er de laatste tijd kritisch naar antivirussoftware gekeken wordt. We zijn als bedrijf bezig met vragen over hoe we onze klanten beschermen in dit proces – vragen die zijn ontstaan in de nasleep van de huidige storm rond Kaspersky.
Kort samengevat wordt Kaspersky er van beschuldigd dat het ‘top secret’ NSA-bestanden verzamelde van een klantcomputer en die deelde met Russische inlichtingendiensten. Kaspersky beweert onschuldig te zijn – ze beweren de bestanden te hebben verzameld als onderdeel van hun normale werk, maar ze hebben de bestanden van hun systemen verwijderd.
Deze situatie heeft natuurlijk geleid tot vragen over antivirusbedrijven in het algemeen. Daarom hebben we in de eerste aflevering van onze gloednieuwe podcast deze vragen voorgelegd aan onze Chief Research Officer Mikko Hypponen.
Mikko legt hierin uit:
- Waarom antivirusproducten gegevens terugsturen naar de antivirus-leverancier
- Wat voor soort gegevens F-Secure-antivirus van klantcomputers verzendt
- Hoe we bestanden beveiligen die onze klanten naar ons verzenden
- Met welke derden we gegevens delen en waarom
- Waarom je je beveiligingsleverancier zorgvuldig moet kiezen
- Waarom het belangrijk is om jouw dreigingsmodel te kennen
- Waarom data een blok aan het been is
Mikko bespreekt ook:
- Of er echt een link is tussen Kaspersky en Russische inlichtingendiensten
- Of Kaspersky is gehackt, geïnfiltreerd of vrijwillig heeft samengewerkt
Categorieën